Origine : bjCSIRT

Numéro : 2026/ALERTE/039

APERÇU :

Une vulnérabilité affectant Drupal core permettrait à un acteur malveillant non authentifié de provoquer une injection SQL arbitraire à distance sur les systèmes affectés utilisant PostgreSQL. 

DESCRIPTION
Drupal est un système de gestion de contenu (CMS) open source largement utilisé pour la création et la gestion de sites web et d’applications en ligne. 

Cet outil est affecté par la vulnérabilité libellée CVE-2026-9082, due à une validation insuffisante des entrées utilisateur dans l’API d’abstraction de base de données de Drupal Core, permettant une injection SQL via le gestionnaire de conditions EntityQuery pour PostgreSQL. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant, en envoyant des requêtes spécialement conçues, d’injecter des instructions SQL malveillantes vers un site Drupal utilisant PostgreSQL.

Elle est classée élevée avec un score de sévérité de 6.5 selon le CVSS V3.1. 

IMPACT

• Elevation de privilèges ;
• Divulgation d’informations sensibles ;
• Compromission de l’intégrité du système.

SYSTEMES AFFECTÉS 

• Drupal version 8.9.0 et ultérieure, antérieure à 10.4.10 ;
• Drupal version 10.5.0 et ultérieure, antérieure à 10.5.10 ;
• Drupal version 10.6.0 et ultérieure, antérieure à 10.6.9 ;
• Drupal version 11.0.0 et ultérieure, antérieure à 11.1.10 ;
• Drupal version 11.2.0 et ultérieure, antérieure à 11.2.12 ;
• Drupal version 11.3.0 et ultérieure, antérieure à 11.3.10.

MESURES À PRENDRE :

Mettre à jour Drupal Core vers la dernière version disponible

RÉFÉRENCES :

• https://www.cve.org/CVERecord?id=CVE-2026-9082
• https://cveplayground.com/blog/cve-2026-9082-drupal-core-sql-injection/
• https://www.drupal.org/sa-core-2026-004
• https://www.hkcert.org/security-bulletin/drupal-remote-code-execution-vulnerability_20260521